omc cp gestor de certificados médicos electrónicos v1 ·...
TRANSCRIPT
OMC: Gestor de certificados electrónicos.
2
Índice
Índice .................................................................................................................................2 1. Resumen ejecutivo.......................................................................................................4 1.1. Visión general.............................................................................................................. 4 1.2. Antecedentes .............................................................................................................. 4 1.3. Objetivos ..................................................................................................................... 6
2. Alcance ........................................................................................................................7 2.1. Incluido en el alcance.................................................................................................. 7 2.2. Excluido del alcance .................................................................................................... 9 2.3. Restricciones ............................................................................................................... 9 2.4. Impacto de los cambios previstos ............................................................................. 10
3. Planificación del proyecto ..........................................................................................12 4. Casos de uso de negocio de certificados médicos electrónicos ...................................13 4.1. Diagramas de caso de uso de negocio ...................................................................... 13 4.2. Descripciones de caso de uso de negocio ................................................................. 14 4.2.1. CUN01. Adquirir certificado médico .................................................................. 14 4.2.2. CUN02. Expedir certificado médico ................................................................... 16 4.2.3. CUN03. Remitir certificado médico.................................................................... 18 4.2.4. CUN04. Imprimir certificado médico.................................................................. 20 4.2.5. CUN05. Verificar certificado médico .................................................................. 22
5. Casos de uso de negocio de certificados administrativos electrónicos ........................24 5.1. Diagramas de caso de uso de negocio ...................................................................... 24 5.2. Descripciones de caso de uso de negocio ................................................................. 26 5.2.1. CUN01. Solicitar certificado administrativo ....................................................... 26 5.2.2. CUN02. Revisar solicitud y adjuntar certificado administrativo......................... 30 5.2.3. CUN03. Generar certificado administrativo ....................................................... 34 5.2.4. CUN04. Verificar certificado administrativo....................................................... 38 5.2.5. CUN05. Administrar certificados administrativos .............................................. 40
6. Actores de certificados médicos electrónicos ............................................................41 6.1. Empleados................................................................................................................. 41 6.2. Actores de negocio.................................................................................................... 41 6.3. Otros sistemas........................................................................................................... 42
7. Actores de certificados administrativos electrónicos..................................................43
OMC: Gestor de certificados electrónicos.
3
7.1. Empleados................................................................................................................. 43 7.2. Actores de negocio.................................................................................................... 43 7.3. Otros sistemas........................................................................................................... 44
8. Estados de los certificados médicos electrónicos........................................................45 8.1. Solicitudes de certificados médicos electrónicos...................................................... 45 8.2. Certificados médicos electrónicos............................................................................. 45
9. Estados de los certificados administrativos electrónicos ............................................46 9.1. Solicitudes de certificados administrativos electrónicos .......................................... 46 9.2. Certificados administrativos electrónicos ................................................................. 47
10. Otros requerimientos funcionales ............................................................................48 10.1. Plataforma de portafirmas...................................................................................... 48 10.2. Plataforma de validación de certificados y firmas electrónicas .............................. 51 10.3. Plataforma de sellado de fecha y hora.................................................................... 53
11. Requerimientos no funcionales................................................................................53 11.1. Requerimientos de volumen y almacenamiento .................................................... 53 11.2. Requerimientos de desarrollo................................................................................. 54 11.3. Requerimientos de plataforma ............................................................................... 55 11.4. Requerimientos de accesibilidad ............................................................................ 57 11.5. Requerimientos de seguridad ................................................................................. 59 11.6. Requerimientos de interoperabilidad ..................................................................... 60 11.7. Requerimientos de fiabilidad .................................................................................. 61 11.8. Requerimientos de formación ................................................................................ 61
12. Identificación de riesgos...........................................................................................61 13. Aspectos económicos del proyecto ..........................................................................62 14. Presentación de proposiciones: lugar y plazo de presentación, formalidades y
documentación.................................................................................................................62 15. Criterios de valoración para la adjudicación .............................................................63
OMC: Gestor de certificados electrónicos.
4
1. Resumen ejecutivo
1.1. Visión general
Este documento contiene los requerimientos para la construcción y explotación de una
plataforma de certificados médicos electrónicos, a partir de un conjunto de necesidades de
negocio, funcionales y no funcionales, que definen un sistema de información que soporte la
expedición y gestión del ciclo de vida de los certificados médicos electrónicos, en sustitución
del actual sistema de certificado médico en soporte papel.
Adicionalmente, este documento contiene los requerimientos para integración de los
certificados administrativos electrónicos en la plataforma del e-‐Colegio permitiendo
gestionar su ciclo de vida de forma totalmente electrónica. Los certificados administrativos
que se implementarán se ubicarán en la distintas ventanillas únicas de los Colegios y del
CGCOM.
1.2. Antecedentes
Certificados médicos electrónicos
Los certificados médicos son documentos privados oficiales, asimilados a documentos
administrativos, y con un valor reforzado penalmente, que expiden médicos colegiados a los
ciudadanos, para el cumplimiento de deberes y obligaciones públicas, o el acceso a
beneficios o disfrute de derechos.
Algunos ejemplos de certificados médicos incluyen los certificados médicos de defunción, los
certificados médicos de aptitud deportiva o los certificados médicos expedidos a efectos del
permiso de conducción o de armas.
OMC: Gestor de certificados electrónicos.
5
Los certificados médicos son expedidos por los Colegios de Médicos, empleando los
formularios editados en exclusiva por el Consejo General, de acuerdo con lo establecido en
los artículos 59 y siguientes de los Estatutos Generales de la Organización Médica Colegial y
del Consejo General de Colegios Oficiales, aprobados por Real Decreto 1018/1980, de 19 de
mayo, modificado por Real Decreto 757/2006, de 16 de junio, por el que se aprueban los
Estatutos generales del Consejo General de Colegios Oficiales de Médicos. A dicho Consejo
corresponde fijar las clases de certificados, el importe de los mismos y su actualización.
En los actuales modelos de certificados médicos en soporte papel no existe ningún sistema
que permita la comprobación de la identidad del médico firmante del certificado, ni
tampoco existe la garantía de que el certificado médico sea íntegro, ni de que haya sido
realmente firmado por el médico que aparece reflejado en el mismo.
Así pues, la falsificación es una posibilidad real, y que ya se ha detectado en varias ocasiones,
lo cual redunda en una pérdida de confianza en el instrumento por parte de las
administraciones consumidoras.
Esta situación degrada de forma muy importante el valor y la función de los certificados
médicos, en aras a la protección de los ciudadanos, por lo que resulta necesario proceder a
la creación de un sistema de certificados médicos electrónicos, fiables e interoperables.
Certificados médicos electrónicos
Certificados administrativos electrónicos
Actualmente, los certificados administrativos emitidos por los distintos Colegios y el CGCOM
se elaboran mediante informes elaborados a través de Crystal Report y herramientas
ofimáticas, remitiéndose por correo electrónico o entregándose en mano.
OMC: Gestor de certificados electrónicos.
6
1.3. Objetivos
Los principales objetivos del proyecto son:
• Certificados médicos electrónicos
o Desarrollo, implementación y puesta en marcha de un sistema de certificado
médico electrónico, que permita la completa sustitución del certificado
médico en papel, así como permita la gestión segura y eficiente de los
procedimientos privados y públicos en los que intervengan este tipo de
certificados.
o El sistema de certificado médico electrónico se enmarca en el proceso de
implantación de administración electrónica que ha emprendido la OMC como
consecuencia de la aplicación de la Directiva de Servicios (Ley Ómnibus) y la
Ley de Administración Electrónica a las llamadas Autoridades Competentes,
entre las que se encuentran las corporaciones médicas.
o La tecnología, arquitectura y esquema funcional del proyecto del certificado
médico electrónico deben estar en armonía con los desarrollos ya realizados
por la OMC en el marco de su sistema de Ventanilla Única, integrando la
información en la misma si bien el sistema no debe construirse
necesariamente empleando esta plataforma, ya que debe ofrecer servicios a
todos los Colegios de Médicos independientemente de la aplicación que
gestione su Ventanilla Única.
o Adicionalmente, en el caso que aplique directamente al CGCOM la solución
deberá integrarse con el gestor documental de archivo implantado en la
organización.
• Certificados administrativos electrónicos
o El objetivo principal del proyecto es el desarrollo, implementación de los
trámites necesarios para la expedición de certificados administrativos
electrónicos.
o Este trámite se integrará con la plataforma del e-‐Colegio y VUDS OMC,
plataforma desarrollada para la aplicación de la Directiva de Servicios (Ley
Ómnibus) y la Ley de Administración Electrónica a las llamadas Autoridades
Competentes, entre las que se encuentran las corporaciones médicas.
OMC: Gestor de certificados electrónicos.
7
o Adicionalmente, en el caso que aplique directamente al CGCOM la solución
deberá integrarse con el gestor documental de archivo implantado en la
organización.
• Servicio de monitorización
• Servicio de portafirmas
• Plataforma de validación de certificados y firmas electrónicas
• Plataforma de sellado de fecha y hora
2. Alcance
2.1. Incluido en el alcance
Certificados médicos electrónicos
El proyecto pretende la sustitución de todos los tipos de certificados médicos que
actualmente se emiten en formato papel.
Los certificados y sus usos más significativos afectados por la propuesta son los siguientes:
- Certificados médicos de defunción.
- Certificados médicos de adopción.
- Certificados médicos para entidades deportivas.
- Certificados médicos para permiso de armas.
- Certificados médicos para carné de conducir y para la recuperación de puntos del
carné.
- Certificados médicos de salud laboral.
- Certificados médicos para seguridad privada.
- Certificados médicos para homologación de permisos para extranjeros.
- Certificados médicos para trabajos peligrosos (grúas, etc).
OMC: Gestor de certificados electrónicos.
8
- Certificados médicos para propietarios de perros peligrosos.
- Certificados médicos de aptitud para náutica.
- Certificados médicos de aptitud para la pesca.
- Certificados médicos de aptitud actividades subacuáticas.
- Cualquier otro certificado que demande cualquier actividad que requiera de una
certificación especifica del estado de salud para su realización.
Certificados administrativos electrónicos
El proyecto deberá comprender:
-‐ la presentación de la solicitud por parte del interesado.
-‐ la gestión del flujo de firmas necesarias para su validación utilizando un portafirmas.
-‐ implementación de un repositorio de documentos para el colegio y CGCOM.
-‐ la generación del certificado con un CVE estampado que permita su verificación
posterior en el repositorio de documentos del colegio y CGCOM.
Los certificados y sus usos más significativos afectados por la propuesta son los siguientes:
- Certificados de idoneidad profesional.
- Certificados colegiales.
Servicio de monitorización
El proyecto deberá incluir la creación de un sistema de monitorización tipo Nagios de la
plataforma tecnológica que de soporte al sistema de certificado médico electrónico, así
como una propuesta de soporte de tercer nivel 24x7 para dicha plataforma.
Servicio de portafirmas
El proyecto ofrecerá un servicio de portafirmas que cumpla los requisitos expuestos más
adelante.
Plataforma de validación de certificados y firmas electrónicas
El proyecto ofrecerá una plataforma de validación de certificados y firmas que cumpla los
requisitos expuestos más adelante.
OMC: Gestor de certificados electrónicos.
9
Plataforma de sellado de fecha y hora
El proyecto ofrecerá una solución completa de sellado de fecha y hora que cumpla los
requisitos expuestos más adelante.
2.2. Excluido del alcance
Todas las funcionalidades no expresamente incluidas se encuentran expresamente excluidas
del alcance.
2.3. Restricciones
Certificados médicos electrónicos
Los certificados médicos electrónicos deben ser interoperables con las Administraciones
Públicas, sanitarias y no sanitarias. Los certificados médicos electrónicos deben poder ser
accedidos y consultados directamente por las Administraciones Públicas, y entidades que lo
precisen para el desarrollo de su actividad (por ejemplo Federaciones deportivas) de
acuerdo con la legislación vigente.
El sistema gestor de certificados médicos electrónicos debe integrarse con la plataforma ya
existente del e-‐Colegio implementada por la OMC, prestando especial atención a la
implantación y configuración de un repositorio único centralizado de Usuarios (LDAP) para
su uso desde cualquier aplicación informática del e-‐Colegio. Por este motivo, es necesario
revisar la robustez y capacidad de dicha plataforma, redimensionándola y mejorándola para
ofrecer los servicios requeridos por el gestor de certificados médicos electrónicos.
Se valorarán aquellas propuestas basadas en arquitecturas orientadas a servicio que faciliten
la reutilización en otros proyectos de todos los componentes y servicios desarrollados.
OMC: Gestor de certificados electrónicos.
10
2.4. Impacto de los cambios previstos
Certificados médicos electrónicos
Caso de uso de
negocio
¿Nuevo? Funcionalidad
deseada
Funcionalidad
actual (si se
modifica)
Afectados Prioridad
Adquirir
certificado
médico
Sí Solicitud y pago
de un
certificado
médico
N/A Ciudadano Alta
Expedir
certificado
médico
Sí Creación, firma
y registro de un
certificado
médico
electrónico
N/A Médico
expedidor
Alta
Remitir
certificado
médico
Sí Envío o puesta
a disposición de
un certificado
médico
electrónico
N/A Médico
expedidor
Alta
Imprimir
certificado
médico
Sí Impresión en
papel de un
certificado
médico
expedido
N/A Médico
expedidor,
ciudadano,
Administra-‐
ción
Alta
Verificar
certificado
médico
Sí Comprobación
en línea de la
autenticidad de
un certificado
médico
N/A Médico
expedidor,
ciudadano,
Administra-‐
ción
Alta
OMC: Gestor de certificados electrónicos.
11
mediante CVE
Administrar
certificados
médicos
electrónicos
Sí Gestión del
ciclo de vida de
los certificados
médicos
electrónicos
expedidos
N/A Médico
expedidor,
Administra-‐
dor del
servicio
(empleado
CGCOM)
Media
Administrar el
gestor de
certificados
médicos
electrónicos
Sí Configurar y
gestionar la
plataforma de
servicio
N/A Administra-‐
dor del
servicio
(empleado
CGCOM)
Alta
Certificados administrativos electrónicos
Caso de uso
de negocio
¿Nuevo? Funcionalidad
deseada
Funcionalidad
actual (si se
modifica)
Afectados Prioridad
Solicitar
certificado
administrativo
Sí Solicitud de
certificado
administrativo en
el colegio
N/A Médico
colegiado /
Empleado
del Colegio
Alta
Revisar solicitud
y adjuntar
certificado
administrativo
Sí Revisar solicitud y
adjuntar
certificado
administrativo
N/A Empleado
del Colegio
Alta
Generar
certificado
administrativo
Sí Creación, firma y
registro de un
certificado
administrativo
N/A Empleado
del Colegio
Alta
OMC: Gestor de certificados electrónicos.
12
Verificar
certificado
administrativo
Sí Comprobación en
línea de la
autenticidad de
un certificado
administrativo
mediante CVE
N/A Interesado Alta
Administrar
certificados
administrativos
Sí Gestión del ciclo
de vida de los
certificados
administrativos
expedidos
N/A Empleado
del Colegio
Media
3. Planificación del proyecto
La empresa deberá aportar la planificación en relación con la ejecución del proyecto, que
considere al menos, los siguientes hitos:
- Análisis funcional detallado del servicio.
- Diseño técnico del servicio.
- Construcción del servicio.
- Implantación del servicio.
- Pruebas e inicio de operaciones.
La empresa podrá hacer uso de diversas metodologías de desarrollo, incluidas las
metodologías denominadas ágiles, por lo cual podrá adaptar los hitos anteriores según
resulte conveniente.
OMC: Gestor de certificados electrónicos.
13
4. Casos de uso de negocio de certificados médicos
electrónicos
4.1. Diagramas de caso de uso de negocio
Nota: Los casos de uso de negocio “Administrar certificados médicos electrónicos” y
“Administrar el gestor de certificados médicos electrónicos” no se tratan en esta sección, si
bien deberán ser desarrollados mediante los correspondientes casos de uso técnicos.
OMC: Gestor de certificados electrónicos.
14
4.2. Descripciones de caso de uso de negocio
4.2.1. CUN01. Adquirir certificado médico
(Estilo semi-‐formal)
Condición previa: Ninguna.
Condición posterior, en caso de éxito: Se ha solicitado y abonado un nuevo certificado
médico electrónico.
Condición posterior, en caso de fracaso: Se ha emitido un mensaje de error en referencia a
la solicitud del certificado médico.
Actores principales: Ciudadano, empleado del Colegio de Médicos, médico expedidor.
Actores secundarios: e-‐Colegio, TPV Virtual.
OMC: Gestor de certificados electrónicos.
15
Flujo principal:
1. El ciudadano, o en su caso el empleado del Colegio de Médicos, accede a la ventanilla
única del Colegio de médicos al que pertenece el médico expedidor.
2. El ciudadano selecciona la opción de adquisición de certificados médicos.
3. El ciudadano selecciona el tipo de certificado médico a expedir.
4. El ciudadano introduce sus datos personales, incluyendo correo electrónico. 5. La solicitud se registra en el registro de entrada de documentos.
6. El ciudadano abona el coste del certificado médico, mediante el TPV virtual.
7. El ciudadano visualiza los datos del certificado, para poder acudir al médico
correspondiente.
8. El sistema remite al ciudadano un correo electrónico con el recibo de la transacción, y
los datos del certificado, para poder acudir al médico correspondiente.
Extensiones:
1.a. Si el ciudadano acude directamente al médico expedidor, éste puede tramitar la
adquisición directamente.
6.a. El pago se puede realizar posteriormente, en el momento de acudir al médico
expedidor.
OMC: Gestor de certificados electrónicos.
16
4.2.2. CUN02. Expedir certificado médico
(Estilo semi-‐formal)
OMC: Gestor de certificados electrónicos.
17
Condición previa: Existe una solicitud de expedición de certificado médico, abonada.
Condición posterior, en caso de éxito: Se ha expedido e impreso un nuevo certificado
médico electrónico.
Condición posterior, en caso de fracaso: Se ha emitido un mensaje de error en referencia a
la expedición del certificado médico.
Actores principales: Médico expedidor.
Actores secundarios: Registro de profesionales.
Flujo principal:
1. El médico expedidor se autentica frente al sistema.
2. El médico expedidor selecciona la opción de expedición de certificados médicos.
3. El médico expedidor selecciona el tipo de certificado médico a expedir.
4. El sistema verifica si el médico expedidor tiene permisos para expedir el tipo concreto
de certificado médico que ha elegido. Esta verificación incluye la consulta al registro
de profesionales.
5. El médico expedidor introduce los datos del ciudadano, recupera el certificado
médico adquirido y lo cumplimenta, empleando un formulario web.
6. El médico expedidor firma electrónicamente el certificado médico, en formato XML,
con firma XAdES internally detached.
7. El sistema registra los metadatos del certificado médico en la base de datos del
sistema, y almacena el certificado médico firmado en XML.
8. El sistema anota el documento en el registro electrónico de salida, agrega dicha
información al certificado médico firmado en XML y lo almacena.
9. El sistema produce un código de verificación electrónica para el certificado médico
registrado de salida en XML.
10. El sistema produce una copia auténtica del certificado médico registrado de salida en
XML en PDF, al que adjunta la dirección de consulta y el código de verificación
electrónica del certificado médico.
11. El sistema imprime el certificado médico electrónico en formato PDF, y lo entrega al
interesado.
12. El sistema registra las operaciones realizadas, a efectos de auditoría.
OMC: Gestor de certificados electrónicos.
18
Extensiones:
1.a. El sistema devuelve error de autenticación de usuario.
4.a. El sistema devuelve error de autorización al usuario.
6.a. El sistema devuelve error de firma electrónica al usuario.
4.2.3. CUN03. Remitir certificado médico
(Estilo semi-‐formal)
Condición previa: Existe un certificado médico electrónico registrado en el sistema.
Condición posterior, en caso de éxito: Se ha remitido electrónicamente un certificado
médico.
Condición posterior, en caso de fracaso: Se ha emitido un mensaje de error en referencia a
la remisión del certificado médico.
Actores principales: Médico expedidor.
OMC: Gestor de certificados electrónicos.
19
Actores secundarios: Servicio de notificación electrónica, Registro de entrada/salida de
documentos,
Flujo principal:
1. El médico expedidor se autentica frente al sistema.
2. El médico expedidor selecciona la opción de remisión de certificados médicos.
3. El médico expedidor busca el certificado médico a remitir.
4. El sistema comprueba que el certificado médico se encuentra vigente.
5. El médico expedidor introduce los datos del receptor del certificado médico.
6. El sistema produce una copia auténtica del certificado médico registrado de salida en
XML en formato PDF, al que adjunta la dirección de consulta y el código de
verificación electrónica del certificado médico.
7. El sistema firma electrónicamente la copia auténtica con un sello electrónico del
CGCOM.
8. El sistema remite el certificado médico electrónico en formato PDF, empleando el
servicio de notificación electrónica.
9. El sistema registra las operaciones realizadas, a efectos de auditoría.
Extensiones:
1.a. El sistema devuelve error de autenticación de usuario.
4.a. Cuando el certificado médico no se encuentra vigente, el sistema marca la copia con
la leyenda “Certificado expirado”.
Nota: Debido a la sensibilidad de los datos contenidos en un certificado médico electrónico,
la remisión del mismo se realiza en general a través de un servicio de notificación electrónica
segura (integrada en el e-‐Colegio), descartándose mecanismos sin garantía de
confidencialidad como el correo electrónico.
OMC: Gestor de certificados electrónicos.
20
4.2.4. CUN04. Imprimir certificado médico
(Estilo semi-‐formal)
Condición previa: Existe un certificado médico electrónico registrado en el sistema.
Condición posterior, en caso de éxito: Se ha impreso un certificado médico electrónico.
Condición posterior, en caso de fracaso: Se ha emitido un mensaje de error en referencia a
la impresión del certificado médico.
Actores principales: Médico expedidor.
Actores secundarios: Ciudadano, Administración.
OMC: Gestor de certificados electrónicos.
21
Flujo principal:
1. El médico expedidor se autentica frente al sistema.
2. El médico expedidor selecciona la opción de impresión de certificados médicos.
3. El médico expedidor busca el certificado médico a imprimir.
4. El médico expedidor verifica que el solicitante tiene derecho a acceder al certificado
médico electrónico, y registra su identidad en el sistema, a efectos de trazabilidad.
5. El sistema comprueba que el certificado médico se encuentra vigente.
6. El sistema produce una copia auténtica del certificado médico registrado de salida en
XML en PDF, al que adjunta la dirección de consulta y el código de verificación
electrónica del certificado médico.
7. El médico expedidor imprime y entrega presencialmente la copia en papel del
certificado médico.
8. El sistema registra las operaciones realizadas, a efectos de auditoría.
Extensiones:
1.a. El sistema devuelve error de autenticación de usuario.
5.a. Cuando el certificado médico no se encuentra vigente, el sistema marca la copia con
la leyenda “Certificado expirado”.
5.b. Si el certificado médico ha sido transferido al archivo, se recupera desde el
correspondiente sistema.
6.a. Opcionalmente, el certificado médico se puede remitir mediante mensajería postal.
OMC: Gestor de certificados electrónicos.
22
4.2.5. CUN05. Verificar certificado médico
(Estilo semi-‐formal)
Condición previa: Existe un certificado médico electrónico registrado en el sistema
Condición posterior, en caso de éxito: Se ha cotejado una copia auténtica de un certificado
médico electrónico contra su original.
Condición posterior, en caso de fracaso: Se ha emitido un mensaje de error en referencia a
la verificación del certificado médico.
Actores principales: Ciudadano, Administración, Médico expedidor
Actores secundarios:
OMC: Gestor de certificados electrónicos.
23
Flujo principal:
1. El usuario accede de forma anónima a la Ventanilla Única del CGCOM.
2. El usuario selecciona la opción de verificar certificado médico electrónico mediante
CVE.
3. El usuario selecciona el tipo de certificado médico a verificar.
4. El usuario introduce sus datos de identidad personal, finalidad de la consulta, los datos de la persona a la que se expidió el certificado y el CVE.
5. El sistema comprueba que el certificado médico se encuentra vigente.
6. El sistema produce una copia auténtica del certificado médico registrado de salida en
XML en HTML.
Extensiones:
5.a. Cuando el certificado médico no se encuentra vigente, el sistema marca la copia con
la leyenda “Certificado expirado”.
5.b. Si el certificado médico ha sido transferido al archivo, no se puede recuperar
mediante este procedimiento.
OMC: Gestor de certificados electrónicos.
24
5. Casos de uso de negocio de certificados administrativos
electrónicos
5.1. Diagramas de caso de uso de negocio
Colegio de Médicos
OMC: Gestor de certificados electrónicos.
26
5.2. Descripciones de caso de uso de negocio
5.2.1. CUN01. Solicitar certificado administrativo
CUN01A. Colegio de Médicos
OMC: Gestor de certificados electrónicos.
27
(Estilo semi-‐formal)
Condición previa: el interesado será médico colegiado del Colegio de Médicos. El colegio de
médicos donde se presente la solicitud será un Colegio adherido a la plataforma VUDS-‐OMC.
Condición posterior, en caso de éxito: Se ha solicitado un nuevo certificado administrativo
electrónico.
Condición posterior, en caso de fracaso: Se ha emitido un mensaje de error en referencia a
la solicitud del certificado administrativo.
Actores principales: Médico colegiado, empleado del Colegio de Médicos.
Actores secundarios: e-‐Colegio.
Flujo principal:
1. El médico colegiado o en su caso el empleado del Colegio de Médicos, accede con su
certificado electrónico a la ventanilla única del Colegio de médicos al que pertenece.
2. El sistema valida el certificado electrónico y autentica al médico colegiado en el
sistema.
3. El médico colegiado selecciona la opción de solicitud de certificados administrativos.
4. El médico colegiado selecciona el tipo de certificado administrativo que desea
solicitar y la modalidad.
5. El médico colegiado firma y presenta electrónicamente su solicitud.
6. El sistema valida la solicitud firmada por el médico colegiado.
7. La solicitud se registra en el registro de entrada de documentos.
8. El sistema remite al médico colegiado un correo electrónico o notificación electrónica
con el recibo de la transacción y se lo presenta en pantalla.
Extensiones:
1.a. El sistema devuelve error de autenticación de usuario.
5.a. El sistema devuelve error de firma electrónica del usuario.
OMC: Gestor de certificados electrónicos.
29
Condición previa:
Condición posterior, en caso de éxito: Se ha solicitado un nuevo certificado administrativo
electrónico en la VUDS CGCOM.
Condición posterior, en caso de fracaso: Se ha emitido un mensaje de error en referencia a
la solicitud del certificado administrativo.
Actores principales: Ciudadano, Médico colegiado, empleado de Colegio de Médicos,
empleado de CGCOM.
Actores secundarios: e-‐Colegio, gestor documental de archivo.
Flujo principal:
1. El interesado (ciudadano, médico colegiado o empleado de Colegio de Médicos) o en
su caso el empleado del CGCOM, accede con su certificado electrónico a la ventanilla
única del CGCOM.
2. El sistema valida el certificado electrónico y autentica al interesado en el sistema.
3. El interesado selecciona la opción de solicitud de certificados administrativos.
4. El interesado selecciona el tipo de certificado administrativo que desea solicitar y la
modalidad.
5. El interesado firma y presenta electrónicamente su solicitud.
6. El sistema valida la solicitud firmada por el interesado .
7. La solicitud se registra en el registro de entrada de documentos.
8. El sistema remite al interesado un correo electrónico o notificación electrónica con el
recibo de la transacción y se lo presenta en pantalla.
Extensiones:
1.a. El sistema devuelve error de autenticación de usuario.
5.a. El sistema devuelve error de firma electrónica del usuario.
OMC: Gestor de certificados electrónicos.
30
5.2.2. CUN02. Revisar solicitud y adjuntar certificado administrativo
CUN02A. Colegio de Médicos
(Estilo semi-‐formal)
OMC: Gestor de certificados electrónicos.
31
Condición previa: Existe una solicitud de certificado administrativo presentada en el e-‐
Colegio.
Condición posterior, en caso de éxito: Se ha revisado, validado y generado un certificado
administrativo electrónico.
Condición posterior, en caso de fracaso: Se ha emitido un mensaje de error en referencia a
la generación del certificado administrativo.
Actores principales: empleado del Colegio de Médicos.
Actores secundarios: Registro de profesionales, e-‐Colegio
Flujo principal:
13. El empleado del Colegio de Médicos accede a la ventanilla única y, dentro de la
misma, a la bandeja de entrada de tareas pendientes.
14. El empleado del Colegio de Médicos selecciona la solicitud de certificado
administrativo que desea tramitar.
15. El empleado del Colegio de Médicos revisa la solicitud y adjunta el certificado
administrativo generado desde la aplicación de Registro de profesionales del Colegio,
mediante su firma electrónica.
16. El sistema valida la firma del empleado del Colegio de Médicos.
17. El sistema registra el certificado administrativo en la base de datos del sistema y
almacena el certificado administrativo.
18. El sistema anota la resolución en el registro de salida. El sistema informa a la persona
que realizó la solicitud.
19. El sistema registra las operaciones realizadas, a efectos de auditoría.
Extensiones:
1.a. El sistema devuelve error de autenticación de usuario.
4.a. El sistema devuelve error de firma electrónica al usuario.
OMC: Gestor de certificados electrónicos.
33
Condición previa: Existe una solicitud de certificado administrativo presentada en el e-‐
Colegio.
Condición posterior, en caso de éxito: Se ha revisado, validado y generado un certificado
administrativo electrónico.
Condición posterior, en caso de fracaso: Se ha emitido un mensaje de error en referencia a
la generación del certificado administrativo.
Actores principales: empleado del CGCOM.
Actores secundarios: Registro de profesionales, e-‐Colegio, gestor documental de archivo.
Flujo principal:
1. El empleado del CGCOM accede a la ventanilla única y, dentro de la misma, a la
bandeja de entrada de tareas pendientes.
2. El empleado del CGCOM selecciona la solicitud de certificado administrativo que
desea tramitar.
3. El empleado del CGCOM revisa la solicitud y adjunta el certificado administrativo
generado desde la aplicación de Registro de profesionales del CGCOM, mediante su
firma electrónica.
4. El sistema valida la firma del empleado del CGCOM .
5. El sistema registra el certificado administrativo en la base de datos del sistema y
almacena el certificado administrativo.
6. El sistema anota la resolución en el registro de salida. El sistema informa a la persona
que realizó la solicitud.
7. El sistema registra las operaciones realizadas, a efectos de auditoría.
Extensiones:
1.a. El sistema devuelve error de autenticación de usuario.
4.a. El sistema devuelve error de firma electrónica al usuario.
OMC: Gestor de certificados electrónicos.
34
5.2.3. CUN03. Generar certificado administrativo
CUN03A. Colegio de Médicos
(Estilo semi-‐formal)
Condición previa: Existe el colegiado en el Registro de Profesionales del Colegio.
Condición posterior, en caso de éxito: Se ha generado un certificado administrativo
electrónico.
OMC: Gestor de certificados electrónicos.
35
Condición posterior, en caso de fracaso: Se ha emitido un mensaje de error en referencia a
la generación del certificado administrativo.
Actores principales: empleado de Colegio de Médicos, Registro de profesionales,
Portafirmas
Actores secundarios:
Flujo principal:
1. El empleado del Colegio de Médicos accede a su Registro de Profesionales.
2. El empleado del Colegio selecciona la opción de generación de certificados.
3. El empleado del Colegio introduce los datos del colegiado necesarios y selecciona el
tipo de certificado administrativo electrónico.
4. El empleado del Colegio firma electrónicamente la tarea.
5. El sistema valida la firma del empleado del Colegio de Médicos.
6. El sistema genera el certificado administrativo y adjunta el código de verificación
electrónica asociado así como la dirección de consulta.
7. El sistema envía el certificado administrativo generado al servicio de portafirmas para
su firma por parte de los responsables designados.
8. El sistema almacena en el repositorio el certificado administrativo firmado una vez
devuelto por el portafirmas.
9. El sistema registra las operaciones realizadas, a efectos de auditoría.
Extensiones:
1.a. El sistema devuelve error de autenticación de usuario.
4.a. El sistema devuelve error de firma electrónica al usuario.
7.a. El certificado administrativo no requiere firma electrónica por lo que no se envía al
portafirmas (este caso de uso está implementado previamente en el sistema).
OMC: Gestor de certificados electrónicos.
36
CUN03B. CGCOM
(Estilo semi-‐formal)
Condición previa: Existe el colegiado en el Registro de Profesionales del CGCOM.
Condición posterior, en caso de éxito: Se ha generado un certificado administrativo
electrónico.
Condición posterior, en caso de fracaso: Se ha emitido un mensaje de error en referencia a
la generación del certificado administrativo.
Actores principales: empleado de CGCOM, Registro de profesionales del CGCOM,
Portafirmas, gestor documental de archivo.
OMC: Gestor de certificados electrónicos.
37
Actores secundarios:
Flujo principal:
1. El empleado del CGCOM accede a su Registro de Profesionales.
2. El empleado del CGCOM selecciona la opción de generación de certificados.
3. El empleado del CGCOM introduce los datos del colegiado necesarios y selecciona el
tipo de certificado administrativo electrónico.
4. El empleado del CGCOM firma electrónicamente la tarea.
5. El sistema valida la firma del empleado del CGCOM.
6. El sistema genera el certificado administrativo y adjunta el código de verificación
electrónica asociado así como la dirección de consulta.
7. El sistema envía el certificado administrativo generado al servicio de portafirmas para
su firma por parte de los responsables designados.
8. El sistema almacena en el repositorio el certificado administrativo firmado una vez
devuelto por el portafirmas.
9. El sistema registra las operaciones realizadas, a efectos de auditoría.
Extensiones:
1.a. El sistema devuelve error de autenticación de usuario.
4.a. El sistema devuelve error de firma electrónica al usuario.
7.a. El certificado administrativo no requiere firma electrónica por lo que no se envía al
portafirmas (este caso de uso está implementado previamente en el sistema).
OMC: Gestor de certificados electrónicos.
38
5.2.4. CUN04. Verificar certificado administrativo
CUN04A. Colegio de Médicos
(Estilo semi-‐formal)
Condición previa: Existe un certificado administrativo electrónico registrado en el sistema
Condición posterior, en caso de éxito: Se ha cotejado una copia auténtica de un certificado
administrativo electrónico contra su original.
Condición posterior, en caso de fracaso: Se ha emitido un mensaje de error en referencia a
la verificación del certificado administrativo.
Actores principales: Ciudadano, Administración, empleado de Colegio de Médicos
Actores secundarios:
Flujo principal:
1. El usuario accede de forma anónima a la Ventanilla Única del Colegio.
OMC: Gestor de certificados electrónicos.
39
2. El usuario selecciona la opción de verificar certificado administrativo electrónico
mediante CVE.
3. El usuario introduce el CVE. 4. El sistema comprueba que el certificado administrativo se ha emitido por el Colegio
de Médicos.
5. El sistema produce una copia auténtica del certificado administrativo registrado de
salida en XML en HTML.
Extensiones:
4.a. Cuando el CVE no se corresponden con ningún certificado administrativo emitido
por el colegio.
CUN04B. CGCOM
(Estilo semi-‐formal)
Condición previa: Existe un certificado administrativo electrónico registrado en el sistema
OMC: Gestor de certificados electrónicos.
40
Condición posterior, en caso de éxito: Se ha cotejado una copia auténtica de un certificado
administrativo electrónico contra su original.
Condición posterior, en caso de fracaso: Se ha emitido un mensaje de error en referencia a
la verificación del certificado administrativo.
Actores principales: Ciudadano, Médico colegiado, Administración, empleado de Colegio de
Médicos, empleado de CGCOM
Actores secundarios: gestor documental de archivo.
Flujo principal:
1. El usuario accede de forma anónima a la Ventanilla Única del CGCOM.
2. El usuario selecciona la opción de verificar certificado administrativo electrónico
mediante CVE.
3. El usuario introduce el CVE. 4. El sistema comprueba que el certificado administrativo se ha emitido por el CGCOM.
5. El sistema produce una copia auténtica del certificado administrativo registrado de
salida en XML en HTML.
Extensiones:
4.a. Cuando el CVE no se corresponden con ningún certificado administrativo emitido
por el CGCOM.
5.2.5. CUN05. Administrar certificados administrativos
Este caso de uso de negocio no se trata en esta sección, si bien deberá ser desarrollado
mediante los correspondientes casos de uso técnicos tanto para el CGCOM como para los
Colegios de Médicos.
El sistema deberá permitir al menos incorporar los certificados administrativos a las fichas
colegiales correspondientes, modificar sus metadatos y la explotación estadística de los
mismos (permitir listados exportables).
OMC: Gestor de certificados electrónicos.
41
6. Actores de certificados médicos electrónicos
6.1. Empleados
Unidad/puesto
Impacto general en el proyecto
Administrador del
servicio
Se responsabiliza del funcionamiento del gestor de certificados
médicos electrónicos, y ofrece soporte a los médicos expedidores.
6.2. Actores de negocio
Actor
Impacto general en el proyecto
Médico expedidor
Crea, firma y expide certificados médicos electrónicos. En su caso,
remite o imprime y entrega certificados médicos electrónicos en
papel.
Ciudadano Solicita y adquiere certificados médicos electrónicos. Accede y verifica
sus certificados médicos electrónicos. En su caso, imprime copias en
papel de los certificados médicos electrónicos.
Administración Accede y verifica certificados médicos electrónicos, en función de su
propósito. En su caso, imprime copias en papel de los certificados
médicos electrónicos.
OMC: Gestor de certificados electrónicos.
42
6.3. Otros sistemas
Sistema
Impacto general en el proyecto
Registro de
profesionales
Soporta la comprobación de la condición y especialidad del médico
expedidor.
Registro de
entrada/salida de
documentos
Soporta el registro de salida del certificado médico electrónico, a
efecto de garantía de fecha y hora, y fehaciencia de la actuación.
e-‐Colegio Soporta la solicitud por los ciudadanos y su entrega posterior del
certificado médico electrónico.
Concede acceso al gestor de certificados médicos electrónicos para
operaciones de consulta, verificación e impresión.
Gestor
documental de
archivo
Soporta la conservación a largo plazo de las actuaciones de expedición
y posterior gestión de los certificados médicos electrónicos.
TPV Virtual Soporta la realización de pagos en línea, en relación con los
certificados médicos electrónicos.
OMC: Gestor de certificados electrónicos.
43
7. Actores de certificados administrativos electrónicos
7.1. Empleados
Unidad/puesto
Impacto general en el proyecto
Administrador del
servicio
Se responsabiliza del funcionamiento de la plataforma del e-‐
Colegio, VUDS CGCOM y Registro de Profesionales.
7.2. Actores de negocio
Actor
Impacto general en el proyecto
Empleado del
CGCOM
Adjunta, genera y gestiona certificados administrativos
electrónicos. En su caso, remite o imprime y entrega certificados
administrativos electrónicos en papel.
Empleado del
colegio
Adjunta, genera y gestiona certificados administrativos
electrónicos. En su caso, remite o imprime y entrega certificados
administrativos electrónicos en papel.
Ciudadano Solicita certificados administrativos electrónicos. En su caso,
imprime copias en papel de los certificados administrativos
electrónicos.
Médico colegiado Solicita certificados administrativos electrónicos. En su caso,
imprime copias en papel de los certificados administrativos
electrónicos.
OMC: Gestor de certificados electrónicos.
44
Responsables de
firma
Firma electrónicamente los certificados administrativos que lo
requieran.
Interesado Accede y verifica certificados administrativos electrónicos, en
función de su propósito. En su caso, imprime copias en papel de
los certificados administrativos electrónicos.
Administración Accede y verifica certificados administrativos electrónicos, en
función de su propósito. En su caso, imprime copias en papel de
los certificados administrativos electrónicos.
7.3. Otros sistemas
Sistema
Impacto general en el proyecto
Registro de
profesionales
Soporta la gestión de la ficha colegial.
Registro de
entrada/salida de
documentos
Soporta el registro de salida del certificado administrativo
electrónico, a efecto de garantía de fecha y hora, y fehaciencia
de la actuación.
VUDS CGCOM Soporta la solicitud por los ciudadanos y médicos colegiados y
su entrega posterior del certificado administrativo electrónico.
Concede acceso al empleado del CGCOM para operaciones de
consulta, verificación e impresión.
e-‐Colegio Soporta la solicitud por los médicos colegiados y su entrega
posterior del certificado administrativo electrónico.
Concede acceso al empleado del Colegio para operaciones de
consulta, verificación e impresión.
OMC: Gestor de certificados electrónicos.
45
Gestor
documental de
archivo
Soporta la conservación a largo plazo de las actuaciones de
expedición y posterior gestión de los certificados
administrativos electrónicos.
Portafirmas Soporta la realización de firmas múltiples sobre los certificados
administrativos electrónicos.
8. Estados de los certificados médicos electrónicos
8.1. Solicitudes de certificados médicos electrónicos
Las solicitudes de certificados médicos electrónicos se pueden encontrar en los siguientes
estados:
- Solicitud generada: Se ha generado y cumplimentado adecuadamente una solicitud
de certificado médico electrónico.
- Solicitud resuelta: Se ha tramitado completamente la solicitud de certificado médico
electrónico.
8.2. Certificados médicos electrónicos
Los certificados médicos electrónicos se pueden encontrar en los siguientes estados:
- Certificado médico solicitado: Se ha solicitado un nuevo certificado médico
electrónico.
OMC: Gestor de certificados electrónicos.
46
- Certificado médico adquirido: Se ha adquirido y abonado un nuevo certificado
médico electrónico.
- Certificado médico generado: Se ha generado y cumplimentado adecuadamente un
certificado médico electrónico.
- Certificado médico firmado: Se ha firmado un certificado médico electrónico.
- Certificado médico registrado: Se ha registrado de salida un certificado médico
electrónico.
- Certificado médico expedido: Se ha remitido o puesto a disposición el certificado
médico electrónico y se encuentra vigente.
- Certificado médico expirado: Ha transcurrido el plazo de vigencia y uso del certificado
médico.
- Certificado médico archivado: Se ha transferido el expediente del certificado médico
electrónico al archivo electrónico de documentos.
9. Estados de los certificados administrativos electrónicos
9.1. Solicitudes de certificados administrativos electrónicos
Las solicitudes de certificados administrativos electrónicos se pueden encontrar en los
siguientes estados:
- Solicitud generada: Se ha generado y cumplimentado adecuadamente una solicitud
de certificado administrativo electrónico.
OMC: Gestor de certificados electrónicos.
47
- Solicitud resuelta: Se ha tramitado completamente la solicitud de certificado
administrativo electrónico.
9.2. Certificados administrativos electrónicos
Los certificados administrativos electrónicos se pueden encontrar en los siguientes estados:
- Certificado administrativo solicitado: Se ha solicitado un nuevo certificado
administrativo electrónico.
- Certificado administrativo adjuntado: Se ha adjuntado un nuevo certificado
administrativo electrónico.
- Certificado administrativo generado: Se ha generado adecuadamente un certificado
administrativo electrónico.
- Certificado administrativo firmado: Se ha firmado un certificado administrativo
electrónico.
- Certificado administrativo registrado: Se ha registrado de salida un certificado
administrativo electrónico.
- Certificado administrativo archivado: Se ha transferido el expediente del certificado
administrativo electrónico al archivo electrónico de documentos.
OMC: Gestor de certificados electrónicos.
48
10. Otros requerimientos funcionales
10.1. Plataforma de portafirmas
El portafirmas es una aplicación vertical que permite, de forma autónoma, la gestión de
flujos de firma electrónica de documentos. El caso de uso principal considera el
procesamiento de un documento electrónico al cual se asocia una o varias firmas
electrónicas.
El sistema recibe documentos a firmar y una definición de flujo de firmas aplicable a cada
documento.
La definición de flujo de firmas aplicable es un fichero de control (en sintaxis XML) que
describe las acciones de flujo y la política de firma aplicable a cada acción de firma. El
sistema debe permitir crear, almacenar, intercambiar e interpretar estos ficheros, así como
las políticas de firma electrónica, empleando la sintaxis prevista en ETSI TR 102038 y ETSI TR
102272, sin perjuicio de sus equivalentes.
Se deben poder definir flujos de firmas de diferente naturaleza y, al menos, secuencias
ordenadas y arbitrarias de firmas electrónicas, donde cada acción de firma prevea, al menos,
firmas colectivas (todas las personas previstas deben firmar para que se considere cumplida
esta acción del flujo de firmas, por ejemplo, en el caso de firmas mancomunadas) y firmas
alternativas (una de las personas previstas deben firmar para que se considere cumplida esta
acción del flujo de firmas, por ejemplo, en el caso de las firmas solidarias).
Los documentos a firmar pueden ser cargados manualmente por un administrador de la
plataforma, ser leídos de un repositorio o carpeta de entrada, o ser recibidos mediante un
servicio web desde una aplicación de negocio.
Los documentos a procesar se almacenan en un repositorio propio del sistema, con los
metadatos necesarios para su correcta gestión.
OMC: Gestor de certificados electrónicos.
49
El sistema dispone de una interfaz donde muestra los documentos pendientes de firma a
cada firmante humano, de acuerdo con la información del flujo. El sistema es capaz de
comunicarse con cada firmante mediante correo electrónico, SMS, WhatsApp u otros
métodos, para indicarles que disponen de documentos pendientes de firma.
El firmante accede al sistema y se autentica (con certificado digital o autenticación delegada
al sistema – WSSO), accediendo al listado de documentos pendientes de firma. La selección
de los documentos que puede firmar se realiza mediante el metadato “NIF del firmante” o
mediante otros metadatos previstos en la definición de flujo de firmas, como por ejemplo
“Cargo del firmante”, que se comprobarán mediante la información contenida en el
certificado electrónico que presente el firmante.
El firmante puede revisar el contenido de cualquier documento a firmar, de lo que el sistema
debe dejar traza.
El firmante puede escoger firmar documentos individualmente, o firmar grupos de
documentos, en cuyo caso no se le debe solicitar una nueva autenticación ni autorización
para cada documento.
El sistema debe permitir al firmante negarse explícitamente a firmar un documento, de lo
cual se dejará traza.
El sistema también debe permitir la generación de firmas automatizadas, sin intervención de
usuario, empleado un certificado X.509 instalado en el sistema, accedido mediante CAPI o
P11, incluso en HSM con certificación FIPS 140-‐2 nivel 3.
El sistema debe verificar las firmas anteriores en el flujo, antes de generar una nueva firma
electrónica, remitiendo la correspondiente consulta a la plataforma de validación de
certificados y firmas electrónicas. El sistema también debe verificar el certificado del
firmante antes de generar una firma electrónica, y cuando la persona se autentica frente al
sistema.
El sistema debe poder ser interrogado sobre el estado de ejecución de un flujo de firma, así
como informar a la aplicación de negocio de la finalización del flujo, devolviendo las
OMC: Gestor de certificados electrónicos.
50
informaciones relevantes sobre las operaciones realizadas, de acuerdo con la definición del
flujo de firma.
El sistema debe permitir la generación de las siguientes sintaxis de firma electrónica,
previstas por la NTI de política de firma electrónica:
-‐ XAdES, de acuerdo con ETSI TS 101 903, versión vigente a octubre de 2012. En todas las modalidades (enveloped, enveloping, detached e internally detached) y con todos los elementos de firma longeva (formas –BES, –EPES, –C, –X, –XL y –A). Se deben permitir contrafirmas, de acuerdo con la NTI de política de firma electrónica. Los elementos a incluir en la firma se deben escoger mediante interpretación automática de la política de firma aplicable, cuando se haya definido.
-‐ CAdES, de acuerdo con ETSI TS 101 733, versión vigente a octubre de 2012. En todas las modalidades (attached, detached) y con todos los atributos de firma longeva (formas –BES, –EPES, –C, –X, –XL y –A). Se deben permitir contrafirmas, de acuerdo con la NTI de política de firma electrónica. Los elementos a incluir en la firma se deben escoger mediante interpretación automática de la política de firma aplicable, cuando se haya definido.
-‐ PAdES, de acuerdo con ETSI TS 102 778-‐3, versión vigente a octubre de 2012. En todas las modalidades y con todos los atributos de firma longeva (formas –BES, –EPES, –C, –X, –XL y –A). Se deben permitir contrafirmas, de acuerdo con la NTI de política de firma electrónica. Los elementos a incluir en la firma se deben escoger mediante interpretación automática de la política de firma aplicable, cuando se haya definido.
Para el cumplimiento de lo anteriormente establecido, el sistema podrá delegar operaciones
a la plataforma de firma electrónica. Se anticipa la necesidad de hacerlo para las operaciones
de completado y mantenimiento de la firma longeva.
Será requisito indispensable que el sistema pueda generar documentos que cumplan lo
establecido en la Decisión 2011/130/UE, de 25 de febrero, por la que se establecen los
requisitos mínimos para el tratamiento transfronterizo de los documentos firmados
electrónicamente por las autoridades competentes en virtud de la Directiva 2006/123/CE del
Parlamento Europeo y del Consejo relativa a los servicios en el mercado interior.
OMC: Gestor de certificados electrónicos.
51
Además, y en todo caso, la relación entre una firma y el documento firmado se debe poder
realizar mediante el XSD definido al efecto en la NTI de documento electrónico y mediante el
formato definido en ETSI TS 102 918, Associated Signature Containers, en todas sus
modalidades.
El sistema, opcionalmente, permitirá incrustar objetos de firma en determinados tipos
documentales, como ISO 32000-‐1, ISO 29500 o ISO 26300.
Se valorará el cumplimiento de los requisitos definidos en CEN CWA 14170, así como la
certificación de la solución de acuerdo con los perfiles de protección de INTECO.
10.2. Plataforma de validación de certificados y firmas electrónicas
La plataforma de validación de certificados y firmas electrónicas es una aplicación, o
conjunto de aplicaciones, vertical que permite que cualquier aplicación delegue la
comprobación del estado de un certificado o de una firma electrónica.
El sistema debe disponer de una interfaz OASIS DSS, y sus perfiles correspondientes, para la
solicitud y respuesta de servicios. La petición DSS se podrá transportar mediante servicios
web seguros o mediante REST con medidas adicionales de seguridad.
El sistema debe permitir la validación de un certificado X.509v3 de acuerdo con lo
establecido en la sección 6 de IETF RFC 5280, debiendo poder construir cadenas de
certificación hasta un punto fiable, gestionado por el administrador del sistema mediante la
correspondiente interfaz del sistema.
El sistema debe permitir el establecimiento de equivalencias de políticas de certificados, así
como de categorías de certificados-‐tipo a verificar.
El sistema debe poder obtener e interpretar TSLs de forma automática y desatendida, de
forma que se puedan emplear los puntos de confianza definidos en las mismas para
determinadas operaciones de validación, según definición del administrador del sistema. Al
menos se deberán poder tratar las TSLs expedidas por las Autoridades competentes de los
Estados miembro de la Unión Europea expedidas de acuerdo con la Decisión 2009/767/CE,
OMC: Gestor de certificados electrónicos.
52
de 16 de octubre, por la que se adoptan medidas que facilitan el uso de procedimientos por
vía electrónica a través de las «ventanillas únicas» con arreglo a la Directiva 2006/123/CE del
Parlamento Europeo y del Consejo relativa a los servicios en el mercado interior, modificada
por Decisión 2010/425/UE.
El sistema debe permitir la interpretación y extracción de todas las informaciones contenidas
en los certificados que se encuentren definidas en IETF RFC 5280, ETSI TS 101 862 y ETSI TS
102 280, así como permitir la extracción de informaciones por atributos contenidos en los
campos Subject Name, Subject Alternative Name y Subject Directory Attributes, según defina
el administrador del sistema.
Respecto a las firmas electrónicas, el sistema ha de ser capaz de verificar de forma completa
firmas electrónicas, así como completarlas y mantener su longevidad, de acuerdo con lo
establecido en ETSI TS 101 903 (XAdES) y ETSI TS 101 733 (CAdES), así como en la NTI de
política de firma electrónica.
Para ello, el sistema debe implementar clientes de OCSP, CRL y TSA, de acuerdo con sus
correspondientes especificaciones técnicas, y obtener, procesar y almacenar las
correspondientes informaciones en un repositorio seguro.
Las reglas aplicables a una concreta operación de firma electrónica (validación provisional,
validación definitiva, completado, mantenimiento) se encontrarán descritas en la
correspondiente política de firma electrónica. El sistema deberá poder acceder en línea al
repositorio de la política, descargarla e interpretarla de forma automatizada, y aplicarla,
siempre mediante procesamiento automatizado de los formatos técnicos de la política de
firma electrónica, según se encuentran descritos en ETS TR 102 038 y ETSI TR 102 272.
El sistema debe ser completamente configurable por el administrador, establecer sus
propias políticas de firma electrónica, permitir equivalencias de políticas y trazar todas las
operaciones.
OMC: Gestor de certificados electrónicos.
53
10.3. Plataforma de sellado de fecha y hora
La plataforma de sellado de fecha y hora es una aplicación vertical que permite la expedición
de sellos de fecha y hora criptográficamente asegurados.
La aplicación debe cumplir todos los requisitos y condiciones previstos en IETF RFC 3616,
ETSI TS 102 023, que establece requisitos a cumplir por las entidades de sellado de fecha y
hora, y ETSI TS 101 861, que establece requisitos de contenidos referidos a los sellos
emitidos.
Asimismo, la plataforma debe cumplir las normas del RD 4/2010, de 8 de enero, por el que
se regula el Esquema Nacional de Interoperabilidad, y sus normas técnicas de desarrollo, de
obligado cumplimiento para los sellos empleados en las operaciones del Sector Público.
La plataforma debe incluir una fuente de tiempo fiable consistente en un equipamiento
físico que ofrezca garantías de fecha y hora con precisión inferior o máxima de 1 segundo,
para lo cual deberá disponer de una fuente GPS, DCF-‐77 o similar, y un controlador de
referencia basado en mecanismo de cesio, rubidio o análogo. En todo caso, deberá
sincronizarse con un laboratorio nacional de tiempo y operar como STRATUM-‐1.
11. Requerimientos no funcionales
11.1. Requerimientos de volumen y almacenamiento
Aunque el volumen total de certificados médicos electrónicos a expedir resulta difícil de
calcular, se estiman las siguientes cifras, basadas en estadísticas públicas y otras fuentes:
- Certificados médicos de defunción: hasta 400.000 unidades anuales (fuente: sistema
de información del Sistema Nacional de Salud).
OMC: Gestor de certificados electrónicos.
54
- Certificados médicos de aptitud deportiva: hasta 3.500.000 unidades anuales (fuente:
Consejo General de Deportes).
- Certificados médicos de conducción: hasta 4.000.000 unidades anuales (fuente:
Dirección General de Tráfico).
- Otros certificados: Hasta 100.000 unidades anuales (estimación).
La empresa debe dimensionar el servicio para soportar hasta 8.000.000 certificados anuales,
con un mínimo del 10%, ofreciendo un modelo de evolución en costes que permita llegar al
100% de cobertura en un periodo máximo de dos años.
11.2. Requerimientos de desarrollo
Desarrollo seguro
- Se deberá seguir una metodología para el desarrollo seguro de software. Al menos
debe cumplirse lo establecido en el proyecto OWASP.
- Se deberían considerar requisitos de seguridad del sistema que debe desarrollarse
aquellos controles de seguridad propuestos por la norma ISO/IEC 27002 que sean
aplicables.
- El adjudicatario deberá aplicar técnicas y criterios de programación segura que
consideren las vulnerabilidades de los lenguajes utilizados.
- Se deberá evitar, en la medida de lo posible, el uso de galletas (cookies)
especialmente cuando permitan controlar la persistencia del usuario en diferentes
sesiones. La propuesta de uso de cookies debe ir acompañada de una justificación
escrita de su necesidad, y del análisis de las alternativas posibles y del impacto
correspondiente.
- Las aplicaciones cliente se desarrollarán considerando técnicas y métodos de
detección de errores y vulnerabilidades de seguridad común en la plataforma cliente.
- El código de las aplicaciones cliente se firmará utilizando un certificado digital de
firma de código, para que su distribución sea fiable.
OMC: Gestor de certificados electrónicos.
55
Tecnologías
La solución deberá ser compatible con los siguientes sistemas operativos y navegadores:
- Sistemas operativos Microsoft Windows XP, 7, Vista, Linux (Ubuntu, RedHat) y Mac
OS.
- Internet Explorer 8 y posteriores.
- Mozilla 10 y posteriores
- Safari 5 y posteriores
El desarrollo que se realice debe cumplir las siguientes características:
- El lenguaje de programación será Java.
- Se utilizará YINGO para la implementación de los flujos de información.
- El código fuente de todos los componentes debe estar correctamente documentado
y debe entregarse al finalizar el desarrollo.
- Como componente de firma local se integrarán los componentes cliente de firma
electrónica de @firma.
11.3. Requerimientos de plataforma
La empresa debe proponer a la OMC la plataforma tecnológica necesaria para soportar el
servicio de forma evolutiva para un periodo de 2 años.
Deberá incluir también en su propuesta la creación de un servicio de monitorización tipo
Nagios del software y hardware que integren la plataforma que preste el servicio tal que:
- Dote al Administrador del servicio de un sistema completo de monitorización a través
de Nagios o similar de sus aplicativos e infraestructura.
- Permita que ante cualquier evento detectado desde el sistema de Monitorización se
genere un evento adecuado al mismo, alertando al soporte que se especifique, tanto
a través de mensajería SMS como a través de un correo electrónico.
- Se disponga de un registro de las incidencias detectadas en la plataforma.
OMC: Gestor de certificados electrónicos.
56
La empresa debe proponer igualmente a la OMC un servicio de soporte de tercer nivel 24x7 para la resolución de incidencias técnicas fuera del horario de oficina del Administrador y durante 2 años después de la puesta en producción del servicio en los siguientes ámbitos:
- Cobertura sobre la plataforma HW implantada: cabina de almacenamiento, Switches
FC, servidores o cualquier otro elemento de la red SAN (cableado, gbits, tarjetas HBA,
etc.).
- Cobertura sobre toda la plataforma virtual: vCenter, ESXi ́s, configuración
almacenamiento y red, funcionalidades como HA, vMotion, etc.
- Cobertura sobre los servidores virtuales creados: backends, frontends.
- Cobertura sobre los aplicativos que se correrán sobre los backend y frontends.
La propuesta deberá contener un acuerdo de nivel de servicio en el que se especifique, al
menos:
- Niveles de severidad de incidencias.
- Ciclo de vida de incidencias según su nivel de severidad.
- Tipo de soporte prestado según incidencia (presencial, remoto, etc).
- Tiempo de respuesta ante incidencias.
- Comunicación de incidencias.
- Registro y documentación de incidencias.
La empresa deberá proporcionar informes a la OMC de mantenimiento preventivo y
mantenimiento evolutivo según las necesidades del servicio con la periodicidad que crea
conveniente.
Adicionalmente, se establecen los siguientes requerimientos tecnológicos para dotar a la
arquitectura actual de todos los componentes necesarios para su correcto escalado y
funcionamiento:
- Dispositivos extras de backup: solución IMATION DataGuard Data Protection
Appliances. DataGuard T5R includes 2x Power cable (EU/UK)-‐2x Ethernet Cable
Manual Keys Screws
o 2 dispositivos IMATION DataGuard T5R 10TB (5 X 2TB HDD)
OMC: Gestor de certificados electrónicos.
57
- Módulo criptográfico para gestión de claves: certificado FIPS 140-‐2 nivel 3.
Cualquiera de los siguientes productos: • Thales nShield Connect
• Safenet Luna SA
• Realsec Criprosec LAN
• ARX CoSign
11.4. Requerimientos de accesibilidad
El gestor de certificados médicos electrónicos dispone de diversas interfaces web con
personas físicas usuarias, tanto empleados de la OMC como médicos expedidores de
certificados médicos electrónicos y ciudadanos y empleados públicos de las
Administraciones, receptores de certificados médicos electrónicos.
El gestor de certificados administrativos electrónicos dispone de diversas interfaces WEB con
personas físicas usuarias, tanto empleados del Colegio, médicos colegiados y ciudadanos y
empleados públicos de las Administraciones, receptores de certificados administrativos
electrónicos.
La Ley 51/2003, de 2 de diciembre, de igualdad de oportunidades, no discriminación y
accesibilidad universal de las personas con discapacidad, modificada por Ley 26/2011, de 1
de agosto, de adaptación normativa a la Convención Internacional sobre los Derechos de las
Personas con Discapacidad, establece condiciones básicas de accesibilidad y no
discriminación en las relaciones con las administraciones públicas (disposición final quinta) y
condiciones básicas de accesibilidad y no discriminación para el acceso y la utilización de las
tecnologías, productos y servicios relacionados con la sociedad de la información y medios
de comunicación social (disposición final séptima).
La Ley 59/2003, de 19 de diciembre, de firma electrónica establece en su disposición
adicional novena, una garantía de accesibilidad para las personas con discapacidad y de la
tercera edad, indicando que los servicios, los procesos, los procedimientos y los dispositivos
de firma electrónica han de ser plenamente accesibles a las personas con discapacidad y de
la tercera edad, las cuales no pueden ser en ningún caso discriminadas en el ejercicio de los
OMC: Gestor de certificados electrónicos.
58
derechos y de las facultades que reconoce la ley por causas basadas en razones de
discapacidad o edad avanzada.
La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios
públicos, también considera la accesibilidad como un elemento de gran importancia. El
artículo 4.c) de la Ley 11/2007 establece como principio legal la accesibilidad a la
información y a los servicios por medios electrónicos en los términos establecidos por la
normativa vigente en esta materia, a través de sistemas que permitan obtenerlos de manera
segura y comprensible, garantizando especialmente la accesibilidad universal y el diseño
para todos de los soportes, canales y entornos con objeto de que todas las personas puedan
ejercer sus derechos en igualdad de condiciones, incorporando las características necesarias
para garantizar la accesibilidad de aquellos colectivos que lo requieran.
La disposición final séptima de la Ley 51/2003 ha sido desarrollada por Real Decreto
1494/2007, de 12 de noviembre, por el que se aprueba el Reglamento sobre las condiciones
básicas para el acceso de las personas con discapacidad a las tecnologías, productos y
servicios relacionados con la sociedad de la información y medios de comunicación social.
El artículo 5.1 del Real Decreto indica que la información disponible en las páginas de
internet de las administraciones públicas deberá ser accesible a las personas mayores y
personas con discapacidad, con un nivel mínimo de accesibilidad que cumpla las prioridades
1 y 2 de la Norma UNE 139803:2004. Asimismo, el artículo 5.4 del propio texto establece que
de igual modo, serán exigibles, y en los mismos plazos, estos criterios de accesibilidad para
las páginas de Internet de entidades y empresas que se encarguen, ya sea por vía
concesional o a través de otra vía contractual, de gestionar servicios públicos, en especial, de
los que tengan carácter educativo sanitario y servicios sociales.
Así mismo, respecto a la lengua de signos, las mencionadas páginas de Internet han de tener
en cuenta dispuesto en la Ley 27/2007, de 23 de octubre, por la que se reconocen las
lenguas de signos españolas y se regulan los medios de apoyo a la comunicación oral de las
personas sordas, con discapacidad auditiva y sordociegas.
OMC: Gestor de certificados electrónicos.
59
11.5. Requerimientos de seguridad
Certificados médicos electrónicos
Los certificados médicos electrónicos, en cuanto a su naturaleza de documentos privados
oficiales asimilados a documentos administrativos, deben encontrarse sujetos al Real
Decreto 3/2010, de 8 de enero, por el cual se regula el Esquema Nacional de Seguridad en el
ámbito de la Administración Electrónica.
De acuerdo con el Esquema Nacional de Seguridad, se debe establecer la categoría de
seguridad del sistema de información de administración electrónica, a partir del nivel de
seguridad (y sensibilidad LOPD) de la información tratada y del servicio prestado.
El sistema de información correspondiente al gestor de certificados médicos electrónicos
previsto en este documento debe cumplir les medidas de seguridad de nivel medio
indicadas en el anexo II del Real Decreto 3/2010.
Así mismo, por contener datos de carácter personal los certificados médicos electrónicos, el
sistema de información que los gestiona debe cumplir las previsiones de la Ley orgánica
15/1999, de 13 de diciembre, y del Real decreto 1720/2007, de 21 de diciembre, para datos
de nivel alto LOPD.
Certificados administrativos electrónicos
De acuerdo con el Esquema Nacional de Seguridad, se debe establecer la categoría de
seguridad del sistema de información de administración electrónica, a partir del nivel de
seguridad (y sensibilidad LOPD) de la información tratada y del servicio prestado.
El sistema de información correspondiente a la gestión de certificados administrativos
electrónicos previsto en este documento debe cumplir las medidas de seguridad de nivel
medio, indicadas en el anexo II del Real Decreto 3/2010, las mismas que se establecen para
la plataforma del e-‐Colegio y Registro de profesionales mencionados a lo largo del presente
documento .
OMC: Gestor de certificados electrónicos.
60
11.6. Requerimientos de interoperabilidad
Los certificados médicos electrónicos, en cuanto a su naturaleza de documentos privados
oficiales asimilados a documentos administrativos, típicamente producidos para su
recepción y utilización por parte de las Administraciones Públicas, deben encontrarse sujetos
al Real Decreto 4/2010, de 8 de enero, por el cual se regula el Esquema Nacional de
Interoperabilidad en el ámbito de la Administración Electrónica.
El sistema de información debe cumplir los siguientes requerimientos:
- Se debe mantener actualizado un inventario de tipos de documentos objeto de
tratamiento por el gestor de certificados médicos electrónicos.
- Se deben establecer y publicar los modelos de datos de intercambio que resulten
aplicables a este sistema.
- Se deben publicar las informaciones y documentos accesibles por los ciudadanos,
médicos y empleados públicos de las Administraciones utilizando formatos
correspondientes, como mínimo, a estándares abiertos. En cualquier caso, los
documentos se deben poder visualizar, acceder y utilizar de forma que se respete el
principio de neutralidad tecnológica, evitando la discriminación de los ciudadanos por
razón de su elección tecnológica.
- Se debe sincronizar el sistema con la hora oficial, con una precisión y desfase que
garanticen la certeza de los plazos del procedimiento administrativo, en su caso con
el Real Instituto y Observatorio de la Armada.
- Se debe disponer de una política de firma electrónica para las informaciones y
documentos comunicados.
- Los documentos generados se deben incorporar al correspondiente expediente
electrónico cumpliendo los requerimientos de formato y de metadatos mínimos
obligatorios.
OMC: Gestor de certificados electrónicos.
61
11.7. Requerimientos de fiabilidad
Certificados médicos electrónicos
Los certificados médicos requieren de una elevada fiabilidad, debido a los efectos jurídicos
que producen. La empresa deberá realizar propuestas para garantizar que el número de
defectos en la producción de certificados es el menor posible.
Certificados administrativos electrónicos
Los certificados médicos administrativos requieren la misma fiabilidad que el resto de
plataformas sobre las que se sustenta (e-‐Colegio y Registro de profesionales). La empresa
deberá realizar propuestas para garantizar que el número de defectos en la producción de
certificados es el menor posible.
11.8. Requerimientos de formación
La empresa debe proponer un plan de formación adecuado y suficiente que alcance a los
empleados de la OMC, presencialmente, y en modalidad a distancia, a los empleados de los
Colegios y los médicos colegiados, para su autoformación en el empleo del servicio, sus
procedimientos y sus resultados.
12. Identificación de riesgos
Se valorará la identificación, por la empresa, de los riesgos potenciales para el proyecto,
incluyendo los siguientes tipos de riesgos:
- Riesgos tecnológicos.
OMC: Gestor de certificados electrónicos.
62
- Riesgos de capacidades.
- Riesgos políticos.
- Riesgos de negocio.
- Riesgos de requerimientos.
- Otros riesgos.
13. Aspectos económicos del proyecto
La empresa deberá aportar un presupuesto del proyecto, lo más completo posible a partir de
las informaciones disponibles en este documento, con un cálculo del retorno de la inversión
que eventualmente deba efectuar.
14. Presentación de proposiciones: lugar y plazo de presentación, formalidades y documentación.
Lugar y plazo de presentación.-‐ Las propuestas se presentarán en el Registro del Consejo
General de Colegios Oficiales de Médicos, Plaza de las Cortes, 11, en mano, en horario de 9 a
14 horas, de lunes a viernes, durante los diez (10) días naturales siguientes a la publicación
en dos diarios nacionales y en la página web del Consejo General. Se anotará en el Libro
Registro la entrada lo que acreditará la recepción.
OMC: Gestor de certificados electrónicos.
63
15. Criterios de valoración para la adjudicación
- Adaptación de la oferta a las funcionalidades requeridas.
- Solvencia técnica de la solución/es presentada/s
- Solvencia económica de la/las empresa/s ofertantes.
- Importe económico del proyecto
- Calendario de ejecución.
Nota.-‐ En base a las ofertas presentadas podrá adjudicarse la totalidad o parte de las
funcionalidades requeridas a una o varias de las ofertas presentadas.